CN103827811A - 管理基本输入/输出系统(bios)的访问 - Google Patents
管理基本输入/输出系统(bios)的访问 Download PDFInfo
- Publication number
- CN103827811A CN103827811A CN201180073871.0A CN201180073871A CN103827811A CN 103827811 A CN103827811 A CN 103827811A CN 201180073871 A CN201180073871 A CN 201180073871A CN 103827811 A CN103827811 A CN 103827811A
- Authority
- CN
- China
- Prior art keywords
- user
- request
- module
- voucher
- bios
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
- Input From Keyboards Or The Like (AREA)
Abstract
在此公开的示例性实施例涉及管理基本输入/输出系统(BIOS)的访问。示例性实施例包括:响应于访问BIOS模块的设置的尝试,与远程目录服务器通信。
Description
背景技术
计算设备(诸如,桌面计算机、笔记本计算机、平板计算机、移动电话、或智能设备)可以存储影响所述计算设备配置的许多可改变的设置。一些这种设置可以被存储在计算机设备的基本输入/输出系统(BIOS)中。例如,在BIOS中存储的设置可以包括:影响计算设备的硬件设备的操作的设置、影响计算设备的启动顺序的设置,等等。
附图说明
接下来的详细说明参考附图,其中:
图1是用于管理基本输入/输出系统(BIOS)的访问的示例性计算设备的框图;
图2是用于使用远程目录服务器管理BIOS访问的示例性计算系统的框图;
图3是用于使用远程目录服务器管理BIOS访问的另一个示例性计算系统的框图;
图4是用于管理对计算设备的BIOS模块的访问的示例性方法的流程图;以及
图5是用于管理对计算设备的BIOS模块的访问的另一个示例性方法的流程图。
具体实施方式
如上所述,对计算设备的一些设置可以被存储在计算设备的基本输入/输出系统(BIOS)中。在一些情形下(诸如,在公司或其他企业中),可能有益的是:限制对企业的计算设备的BIOS设置的访问使得仅一些用户(例如,技术管理员)可以改变计算设备的BIOS设置。为此,企业的每个计算设备可以被配置成在输入的密码与在计算设备上存储的密码匹配之后才准予对BIOS设置的访问。然而,以这种方式使用本地存储的密码来限制对BIOS设置的访问可以使一组管理员对企业的多个计算设备的管理复杂化。例如,如果每个计算设备具有不同的密码,则每个管理员必须为每个计算设备存储密码。可替代地,企业中的每个计算设备可以具有相同的密码。然而,因为由非管理员发现密码可以准予对每个计算设备的设置的访问,所以这个替代方案可能使安全性变弱。此外,改变那个密码会需要每个单独计算设备上的变化。
为了解决这些问题,在此公开的示例提供工具用于使用在远程目录中存储的信息管理在计算设备的BIOS模块中存储的设置。在此公开的一些示例中,响应于接收到访问BIOS模块的设置的请求,计算设备的BIOS模块可以向远程目录服务器请求与至少一个用户凭证相关联的信息。在这种示例中,BIOS模块可以基于从所述远程目录服务器接收的信息确定是否准予访问BIOS设置。例如,响应于接收到访问BIOS模块中存储的设置的请求,所述BIOS模块可以与远程目录服务器通信,以基于远程目录服务器中存储的凭证而验证用户的凭证,和/或根据远程目录服务器中存储的信息确定所述用户是否具有访问所述设置的权限。
以这种方式,每个用户凭证的信息可以在远程目录服务上管理,而不是在企业的每个计算设备上单独地管理。因此,在此公开的示例可以简化准予或取消用户(例如,管理员)对大量计算设备的BIOS设置的访问的过程,并且简化改变用户凭证信息的过程。在此公开的示例还可以简化给不同的用户提供对BIOS设定的访问的不同级别的过程。例如,在此公开的示例可以实现基于企业内用户的组成员资格对BIOS设置的用户访问的管理。在一些示例中,企业的目录服务器可以存储与企业内的用户(例如,公司的雇员)相关联的信息,包括:用户的组成员资格(例如,业务部成员资格等)和/或在企业内的角色。在此公开的示例可以至少部分地基于用户的组成员资格来控制BIOS设置访问,这可以允许用户的权限与企业中(例如,在技术管理员组中)的用户角色和组成员资格相关。
现在参考所述附图,图1是用于管理基本输入/输出系统(BIOS)的访问的示例性计算设备100的框图。如在此被使用的,“计算设备”是桌面计算机、笔记本计算机、板或平板(slate or tablet)计算机、移动电话、智能设备(例如,智能电话)、服务器、或能够使用网络接口以经由通信网络与远程设备通信的任何其他设备。在一些示例中,计算设备100可以是上述计算设备中的任何一种。在图1的示例中,计算设备100包括网络接口110、和包括模块122、124和126的BIOS模块120。
如在此被使用的,“网络接口”是可以由计算设备使用以与通信网络的至少一个远程资源通信的至少一个硬件组件,所述通信网络包括至少一个计算机网络、至少一个电话网络、或其组合。在一些示例中,适合的计算机网络例如包括:局域网络(LAN)、无线局域网络(WLAN)、广域网络(WAN)、企业专用网络、虚拟专用网络(VPN)、因特网等等。适合的电话网络例如包括:有线电话网络、无线电话网络(例如,蜂窝网络)、移动宽带网络等等。
如在此被使用的,“BIOS模块”是包括在机器可读存储介质上编码的一系列指令的模块,用于至少实现计算机设备的基本输入/输出系统(BIOS)功能,并且该模块独立于所述计算设备对任何操作系统(OS)的操作而实现其功能。在此描述的示例中,BIOS模块还可以包括至少一个执行附加功能的模块。在这种示例中,在BIOS模块中所包括的模块的功能可以被实现为一系列指令,该指令被编码在计算设备的机器可读存储介质上并且可由计算设备的处理器执行。在这种示例中,这些指令连同BIOS设置和实现BIOS功能的指令可以被存储在计算设备的非易失性存储区域中。在其他的示例中,所述BIOS模块可以包括至少一个硬件设备,该硬件设备包括用于至少部分地实现BIOS模块中所包括的模块的功能的电子电路。
此外,如在此被使用的,BIOS模块的“设置”(其在此可以被称为“BIOS设置”)是在BIOS模块中存储的任何设置,其影响包括BIOS模块的计算装置的配置。各种BIOS设置可以例如规定:计算设备的启动顺序、某些硬件装置(例如,网络接口等)是否启用、某些硬件设备的操作特性(例如,硬盘驱动器的速度)、某种端口(例如,通用串行总线(USB)端口、其他介质卡槽等)是否启用、计算设备安全设置(例如,各种密码)、功率设置等。
在图1的示例中,请求模块122可以接收访问BIOS模块120的设置的请求。如在此被使用的,访问BIOS模块的设置的请求是如下请求:盖写或以其他方式改变BIOS模块中存储的至少一个BIOS设置,或请求进入通过其BIOS模块中存储的至少一个BIOS设置可以被改变的接口。例如,对访问BIOS模块的设置的请求可以是把规定的BIOS设置改变为特定值的请求。在其他的示例中,访问BIOS模块的设置的请求可以是:从计算设备的输入设备(例如,键盘等)接收的要进入BIOS模块的过程的请求,通过该过程用户可以使用计算设备的输入设备手工地改变计算设备的BIOS模块的至少一个设置。
在一些示例中,模块122可以至少响应于接收到所述访问请求而向远程资源请求与用户凭证相关联的身份信息。所述远程资源可以例如是远程目录服务器。如在此被使用的,“凭证”是可以用于确认供应凭证的实体身份的任何类型的信息,该凭证例如包括:用户名、密码、数字凭证(例如,数字证书、数字密钥、数字徽章等)等中的至少一个。在一些示例中,用户凭证可以作为访问请求的部分被接收。在其他示例中,用户凭证可以响应于访问请求而被(例如,从用户)获取。
在一些示例中,模块122可以采用网络接口110向远程资源请求与用户凭证相关联的身份信息。例如,至少响应于接收到访问BIOS模块120的设置的请求,模块122可以采用网络接口110经由通信网络向远程资源提供对与用户凭证相关联的身份信息的请求182。如在此被使用的,“身份信息”是指包括与用户凭证相关联的权限信息和凭证验证信息中的至少一个的信息。此外,如在此被使用的,“凭证验证信息”是如下信息:其指示被提供到远程资源的至少一个用户凭证(例如,用户名和密码的组合)是否与远程资源中存储的至少一个用户凭证(例如,用户名和密码的组合)相匹配。此外,如在此被使用的,“权限信息”是如下信息:根据该信息BIOS模块确定与至少一个用户凭证相关联的用户是否具有依据访问请求访问BIOS模块的设置的权限。
在图1的示例中,网络接口110可以从远程资源接收对身份信息的请求182的响应184。在这种示例中,响应184可以包括经由请求182所请求的身份信息。在这些示例中,接收模块124可以基于从远程资源所接收的响应184中包括的身份信息从网络接口110接收访问信息。如在此被使用的,“访问信息”是指包括与至少一个用户凭证相关联的权限信息和凭证验证信息中的至少一个的信息。在一些示例中,网络接口110可以把身份信息作为访问信息提供到模块124。在其他的示例中,网络接口110可以基于身份信息生成访问信息。
在一些示例中,确定模块126可以至少基于由模块124接收的访问信息确定是否依据由模块122接收的访问请求来提供对BIOS模块的设置的访问。访问信息可以例如包括指示与用户凭证相关联的用户是否具有依据访问请求访问设置的权限的权限信息。例如,远程资源可以确定用户是否具有访问设置的权限,并且如果用户具有权限,则提供肯定的响应,以及否则,提供否定的响应。在这种示例中,这个响应可以被包括在访问信息中或被提供为访问信息,并且模块126可以基于在访问信息中被包括的权限信息是肯定的还是否定的,来确定是否提供访问。
在其他示例中,访问信息可以包括权限信息,模块126可以把该权限信息与BIOS模块120中存储的其他信息相比较以做出它的确定。例如,权限信息可以识别与用户凭证相关联的用户身份是其成员的实体组。在这种示例中,模块126可以确定是否提供对所述设置的访问,所述确定基于在权限信息中被识别的实体组中的任何一个是否与其成员具有访问所述设置的权限的、在BIOS模块126中存储的、在组的列表中所识别的实体组相匹配。
在图1的示例中,对身份信息的请求182可以是对验证信息和权限信息中的至少一个的请求。例如,请求182可以是对权限信息的请求。在这种示例中,响应于接收到所述访问请求,模块122可以向远程资源请求对用户凭证的验证。如果,作为响应,模块122接收到用户凭证不是有效的指示,则模块122可以拒绝访问请求。可替代地,如果模块122从远程资源接收到指示所述用户凭证是有效的响应,则模块122可以响应于用户凭证是有效的指示和访问请求二者,采用网络接口110把对身份信息(即权限信息)的请求182提供到远程资源。在这种示例中,网络接口110可以在响应184中接收到所请求的权限信息,并且基于所述权限信息把访问信息提供到模块124。
在其他的示例中,请求182可以是对验证信息和权限信息二者的请求。在这种示例中,响应于接收到访问请求,模块122可以经由请求182向远程资源请求对用户凭证验证和与用户凭证相关联的BIOS设置权限二者。网络接口110可以经由响应184接收所请求的验证和权限信息,并且把所述信息作为访问信息提供到模块124。在这种示例中,如果模块126确定所述访问信息指示用户凭证是有效的,则模块126可以根据权限信息确定是否响应于访问请求而提供对BIOS设置的访问。
此外,在一些示例中,请求182可以是对验证信息的请求。在这种示例中,响应于接收到访问请求,模块122可以经由请求182向远程资源请求对用户凭证的验证信息。在这种示例中,网络接口110可以接收响应184中的验证信息,并且把所述验证信息作为访问信息提供到模块124。然后,模块126可以根据在BIOS模块120中存储的其他信息和访问信息确定:是否依据所述访问请求提供对所述BIOS设置的访问。
图2是用于使用远程目录服务器管理BIOS访问的示例性计算系统270的框图。在图2的示例中,计算系统270包括计算设备200和远程目录服务器250。在一些示例中,计算设备200包括网络接口210、BIOS模块220、操作系统232、输入设备234、和输出设备236。BIOS模块220包括模块222、224、226、228和229。BIOS模块220还包括BIOS模块220在其中存储多个BIOS设置227的存储区域225。存储区域225包括BIOS模块220的多个BIOS设置227中的每一个的当前值。尽管图2示出了在存储区域225中存储的至少三个BIOS设置227,但在其他示例中,更多或更少的BIOS设置227可以在存储区域225中被存储。
网络接口210包括控制器模块212和生成模块214。在图2的示例中,模块212和214的功能可以被实现为一系列指令,该指令被编码在计算设备200的机器可读存储介质上,并且可由计算设备200的处理器执行。在其他的示例中,网络接口210可以包括至少一个硬件设备,该硬件设备包括用于至少部分地实现模块212和214的功能的电子电路。
在一些示例中,操作系统232可以是能够由BIOS模块220启动并且在计算设备200上运行的任何操作系统。在图2的示例中,输入设备234例如可以包括:至少一个按钮、键盘、键板、触摸屏,指向设备(例如,鼠标)、加速度计、麦克风、或能够从计算设备200的用户接收输入的任何其他设备。尽管图2的示例仅包括一个输入设备234,但其他的示例可以包括多个输入设备234。输出设备236可以包括能够把信息传送到计算设备200的用户的至少一个设备。
在图2的示例中,远程目录服务器250可以是实现网络目录服务的计算设备。在一些示例中,网络目录服务可以被实现为协议,诸如像,轻型目录访问协议(LDAP),或任何其他适合的协议。此外,远程目录服务器250可以使用例如微软® 活动目录®(Microsoft®
Active Directory®)、或任何其他适合的目录服务来实现网络目录服务。在图2的示例中,远程目录服务器250包括处理器252、网络接口254、和存储区域260。如在此被使用的,“处理器”可以是至少一个中央处理单元(CPU)、至少一个基于半导体的微处理器、至少一个图形处理单元(GPU)、适合于在机器可读存储介质上存储的指令的获取和执行的至少一个其他硬件设备、或其组合。
在一些示例中,网络目录服务可以在存储区域260中存储目录265,该目录265包括多个用户身份262和多个实体组264A和264B。如在此被使用的,“存储区域”可以包括用于存储数据的多个物理介质,诸如,至少一个硬盘、固态驱动器、磁带驱动器等、或其组合。此外,在此描述的任何存储区域可以包括多个存储设备,存储设备的组合形成可用的存储池。
每个用户身份262包括多个参数(例如,属性等)。在图2的示例中,每个用户身份262的参数包括:与用户身份262相关联的至少一个用户凭证、所述用户身份262是其成员的实体组的列表、和与用户身份262相关联的BIOS设置值的列表。在其他的示例中,用户身份262可以包括更多或更少的参数、并且不同的用户身份可以包括不同数量和类型的参数。此外,尽管在图2中示出了两个用户身份,但目录265可以包括更多的用户身份262。在图2的示例中,实体组264A和264B中的每个包括识别是那个实体组的成员的每个实体的列表。如在此被使用的,“实体”是用户身份或实体组。在图2的示例中,第一和第二用户身份262是第一实体组264A的成员。第二实体组264B的成员包括第三和第四用户身份262,以及第三实体组。尽管两个实体组在图2中被示出,但目录265还可以包括更多的实体组。
在图2的示例中,模块222可以接收访问BIOS模块220的设置227的请求。在一些示例中,模块222可以经由输入设备234从计算设备200的用户接收访问请求281。在这种示例中,在BIOS已完成启动计算设备200之前BIOS具有对计算设备200的控制权时,用户可以经由输入设备234通过提供指定的输入(例如,按压键盘上的特定键)来提供对BIOS模块220的访问请求281。例如,以这种方式键入所指定的输入提供了进入所述BIOS模块的过程的请求281,计算设备200的用户通过所述过程可以改变BIOS模块220的至少一个设置227。进入这个BIOS过程的这种请求281在此可以被认为是“访问请求”。
响应于采用模块222接收到访问请求281,获取模块228可以获取用户凭证。在一些示例中,为了获取用户凭证,模块228可以经由输出设备236(例如,监视器、屏等)把凭证提醒282显示给计算设备200的用户。在显示凭证提醒282之后,模块228可以经由至少一个输入设备234从计算设备200的用户接收用户凭证284。例如,用户可以经由输入设备234(例如,键盘等)输入用户名和密码作为用户凭证284。在其他的示例中,用户可以使用一个或多个输入设备234来访问数字凭证(例如,数字证书、密钥等),并把所述数字凭证作为用户凭证284提供到模块228。在其他示例中,模块228可以获取在计算设备200上存储的用户凭证。
在模块228获取用户凭证之后,模块222可以采用网络接口210向远程目录服务器250请求对用户凭证的验证。例如,模块222可以采用网络接口210向服务器250提供包括所获取的用户凭证的验证请求286A。模块222可以在提供验证请求28A之后,采用网络接口210从服务250接收验证响应286B。在一些示例中,响应于验证请求286A,服务器250可以确定在验证请求286A中包括的用户凭证是否与目录265的任何用户身份262的用户凭证匹配。在一些示例中,服务器250可以使用用户凭证来作为用户身份262的索引,使得服务器250可以使用所提供的用户凭证来查询用户身份262。此外,在一些示例中,计算设备200可以使用网络认证协议(例如,Kerberos、或任何其它适合的协议)来与服务器250安全地通信。
如果服务器250确定所提供的用户凭证(例如,用户名和密码)与用户身份262之一的用户凭证匹配,则服务器250可以确定所提供的用户凭证是有效的,并且返回肯定的验证响应286B。否则,服务器250可以确定所提供的用户凭证不是有效的,并且返回否定的验证响应286B。在一些示例中,验证请求286A和响应286B可以分别被认为是身份信息请求和响应,如以上相对于图1所描述的。
如果验证响应286B是否定的,则确定模块226可以确定响应于访问请求不提供对BIOS设置227的访问。如果验证响应286B是肯定的,则模块222可以采用网络接口210向服务器250请求对与所述用户凭证相关联的用户身份的权限信息。在这种示例中,模块222可以响应于接收到访问请求281和接收到用户凭证有效的指示(例如,验证响应286B)而请求与用户凭证相关联的权限信息。模块222可以例如通过采用网络接口210把权限请求288A提供到服务器250来请求权限信息。权限请求288A可以包括所验证的用户凭证。
响应于权限请求288A,服务器250根据目录265确定:与在请求288A中包括的所验证的用户凭证相关联的用户身份262是否具有依据访问请求281访问BIOS设置227的权限。在一些示例中,目录265的每个实体组可以包括指示实体组成员的权限的信息。例如,第一实体组264A可以指示其成员具有进入BIOS模块220的过程的权限,在该过程中用户可以改变一个或多个BIOS设置227,而第二实体组264A指示其成员不具有上述权限。在这种示例中,服务器250可以基于与用户凭证相关联的用户身份262的实体组成员资格而提供包括肯定或否定的权限信息的响应288B。
在服务器250已确定对与用户凭证相关联的用户身份262的权限之后,服务器250可以把包括权限信息的权限响应288B提供到计算设备200。在一些示例中,对权限信息的请求288A可以被认为是对身份信息的请求,并且接收包括权限信息的响应288B可以被认为是接收身份信息。网络接口210可以从服务器250接收权限响应288B,并且接收模块224可以基于所述权限响应288B从网络接口210接收访问信息289。在这种示例中,网络接口210可以把响应288B作为访问信息289提供到接收模块224。
在图2的示例中,如果访问信息289指示与在权限请求288A中提供的用户凭证相关联的用户身份262具有访问BIOS设置227的权限,则模块226可以确定依据访问请求281提供对BIOS设置227的访问。例如,模块226可以确定许可用户进入BIOS模块220的过程,在该过程中,如果响应288B包括肯定的权限信息,则用户可以改变一个或多个BIOS设置227。如果响应288B包括否定的权限信息,则模块226可以确定不许可进入所述过程。在其他示例中,响应288B的权限信息可以指示与用户凭证相关联的用户身份262具有权限访问的至少一个BIOS设置227的列表。在这种示例中,模块226可以根据这个信息确定是否提供所请求的访问。
在其他示例中,模块222可以(例如,在单个通信中)一起请求验证和权限信息,这可以被认为对身份信息的请求。作为响应,服务器250可以在一个响应中把验证响应和权限响应(例如,身份信息)一起提供到计算设备200。在这种示例中,如果用户凭证不是有效的,则计算设备200就可能接收不到任何响应,并且如果在经过预定的时间量之后尚没有响应被接收到,则模块226可以确定不提供所请求的访问。
如以上相对于图2所描述的,实体组264A和264B可以在服务器250的目录265中被存储。在其他的示例中,实体组217A和217B可以在网络接口210的存储区域216中被存储。在这种示例中,网络接口210可以确定与用户凭证相关联的用户身份262是否具有依据访问请求281访问BIOS设置227的权限。例如,网络接口210可以在存储区域216中存储第一和第二实体组217A和217B,其中,在第一实体组217A中包括的每个用户身份具有访问BIOS设置227的权限,而在第二实体组217B中包括的每个用户身份不具有访问BIOS设置227的权限。在这种示例中,网络接口210可以在存储区域216中存储与每个实体组相关联的权限。
在这种示例中,如果验证响应286B是否定的,则生成模块214可以生成访问信息289,该访问信息289指示用户凭证是无效的和/或向BIOS模块220指示不要依据访问请求281提供访问。如果验证响应286B是肯定的,则网络接口210可以基于在存储区域216中存储的实体组确定访问是否应被准予。生成模块214可以生成访问信息289,使得其向BIOS模块220指示是否依据访问请求281提供对BIOS设置227的访问。在这种示例中,模块226可以基于由网络接口210提供的访问信息289确定是否提供对BIOS设置227的访问。
尽管图2的示例在存储区域216中包括两个实体组,但在其他的示例中,存储区域216可以存储多于两个的实体组,每个均具有不同的权限。此外,尽管图2中示出了实体组217A和217B,以及生成模块214,但在BIOS模块向服务器250请求权限信息的示例中,实体组217A和217B,以及生成模块214可以从网络接口210中省略。
在其他的示例中,请求模块222可以接收作为对BIOS模块220的请求的访问请求,以向服务器250请求BIOS模块220的目标设置227的目标值。在一些示例中,响应于确定BIOS模块220的另一个设置指示目标设置227的目标值将被从服务器250中获取,或响应于确定目标设置227的当前值已经期满,BIOS模块220的配置模块229可以请求这个访问,例如作为计算设备200的启动过程的部分。在其他的示例中,这个访问请求可以经由网络接口210从远程资源中被接收。
响应于访问请求,模块222可以提供请求286A,以验证由BIOS模块220获取的用户凭证,并且接收验证响应286B。在这种示例中,验证请求286A可以被认为是对身份信息的请求,并且响应286B可以被认为是对身份信息的请求的响应。如果所述响应286B是肯定的,则模块226可以确定提供所请求的访问。
在这种示例中,模块224可以从网络接口210接收作为访问信息289的响应286B,并且如果访问信息289指示用户凭证是有效的,则模块226可以确定提供所请求的访问。如果模块226确定提供所请求的访问,则模块226可以通过采用网络接口210把对目标值的请求292提供到服务器250,而向服务器250请求所述目标值。在一些示例中,请求292可以包括用户凭证并且识别目标BIOS设置227。作为响应,服务器250获取在目标用户身份262的目录265中存储的目标设置227的目标值,并且在通信294中把所述目标值返回到计算设备200。模块226可以经由网络接口210从服务器250中接收所述目标值,并且采用所接收的目标值替换(例如,盖写)BIOS模块220中的目标设置227的当前值。
在一些示例中,在请求或接收验证或权限信息之前,模块222可以尝试认证服务器250。例如,如果计算设备200是企业的部分,则模块222可以通过与服务器250通信来确定服务器250是否为企业的远程目录服务器,以确定服务器250的目录265是否具有企业所特有的组织结构(例如,规划)。如果是,则计算设备200可以继续与服务器250通信。如果否,则计算设备可以停止与服务器250的通信。
在图2的示例中,计算设备200包括通信控制器模块212,其可以管理BIOS模块220和操作系统232之间的网络业务。在一些示例中,BIOS模块220可以执行上面相对于图2所描述的功能,而不考虑计算设备200上的操作系统232的状态。在这种示例中,当操作系统232处于运行状态时,使用网络接口210的BIOS模块的功能可以通过中断调用。在这种示例中,使用网络接口210的BIOS模块220和操作系统232的通信可以被交错。在一些示例中,控制器模块212可以管理由BIOS模块220和操作系统232对网络接口的使用。在这种示例中,控制器模块212可以在由BIOS模块220和操作系统232做出的通信请求之间进行区分,并且把由网络接口210接收的通信适当地路由到BIOS模块220或操作系统232。
在一些示例中,通信控制器模块212可以包括一系列指令,该指令被编码在计算设备200的机器可读存储介质上并且可由处理器执行以实现BIOS模块220和网络接口210之间、以及操作系统232和网络接口210之间的虚拟化层,从而实现以上描述的功能。在一些示例中,通信控制器模块212可以被包括在网络接口210上(如图2中所示)。在这种示例中,实现所述虚拟化层的指令可以由网络接口210的管理控制器的处理器执行。在其他示例中,通信控制器模块212可以与网络接口210分离。在这种示例中,所述指令可以由与网络接口210分离的管理控制器(例如,边带管理控制器的处理器)执行、或由执行操作系统232的处理器执行。
在一些示例中,BIOS模块220和网络接口210可以经由与计算设备200的其他总线(例如,外围组件接口(PCI)总线)分离的安全信道与彼此通信。在一些示例中,所述安全信道可以是在网络接口210和输入/输出控制器集线器(ICH)(例如,计算设备200的南桥(southbridge))之间提供的物理线路。在一些示例中,这个线路上的通信还可以被加密。在其他的示例中,BIOS模块220和网络接口210可以使用所述安全信道上的安全握手程序来认证彼此,并且随后使用未加密的通信在所述安全信道上通信。可替代地,BIOS模块220和网络接口210不经由安全信道通信,而是可以通过在与计算设备200的其他组件共享的、计算设备200的总线上向彼此提供加密的通信而进行通信。
图3是用于使用远程目录服务器250管理BIOS访问的另一个示例性计算系统370的框图。计算系统370包括计算设备300和远程目录服务器250。在图3的示例中,服务器250与以上相对于图2所描述的服务器250相同,除了图3的示例中的服务器250存储目录365而不是目录265之外。在一些示例中,除了多个用户身份262和多个实体组264A和264B之外,目录365还可以包括多个计算设备身份363,如在图3中所示的。尽管图3示出了至少两个计算机设备身份363,但在其他的示例中,目录365还可以包括更多或更少的计算设备身份363。
在图3的示例中,计算设备300包括网络接口310、处理器315、操作系统232、和BIOS模块320。BIOS模块320包括:机器可读存储介质340、在BIOS模块320的存储区域中存储的多个BIOS设置227、以及在BIOS模块320的存储区域中存储的BIOS设置权限列表329。在图3的示例中,操作系统232与以上相对于图2所描述的相同。此外,如在此被使用的,“机器可读存储介质”可以是任何电子的,磁性的,光学的物理存储设备,或是包括、存储可执行指令或以其他方式编码有可执行指令的其他物理存储设备。例如,在此描述的任何机器可读存储介质可以是:随机访问存储器(RAM)、闪存、存储驱动器(例如,硬盘)、光盘只读存储器(CD-ROM)等中的任何一种,或其组合。此外,在此描述的任何机器可读存储介质可以是非临时性的。在一些示例中,所述多个BIOS设置227和BIOS设置权限列表329可以在相同的存储区域中、或在不同的存储区域中被存储。例如,所述多个BIOS设置227和BIOS设置权限列表329可以在机器可读存储介质340上被存储。
机器可读存储介质340包括用于管理对BIOS模块320的访问的指令341-347。在图3的示例中,处理器315可以提取、解码和执行机器可读存储介质340的指令,以实现下面描述的功能。作为提取、解码和执行指令的替代方案、或除了提取、解码和执行指令之外,处理器315还可以包括:至少一个集成电路(IC)、至少一个其他电子电路、其他控制逻辑、或其组合,用以执行以下描述的机器可读存储介质340的指令的功能中的一些或全部。
在图3的示例中,指令341可以接收改变至少一个目标BIOS设置227的请求382。在一些示例中,改变所述设置的请求382可以包括:至少一个用户凭证(例如,用户名(UN)和密码(PW)),识别目标设置(例如,设置1(SETTING1))的信息、和目标设置的目标值(例如,值1A(VALUE1A))。在一些示例中,请求382可以从操作系统232被接收。例如,操作系统232可以包括或运行用于访问(例如,改变)BIOS设置227的一系列指令,所述指令被编码在计算设备300的机器可读存储介质上并且可由计算设备300的处理器执行。在这种示例中,可执行指令可以从以上相对于图1描述的用户、或从计算设备300的存储区域中获取用户凭证。此外,在这种示例中,操作系统232可以向ICH提供中断,ICH可以调用被编码在BIOS模块320的机器可读存储介质340上的指令的执行。
至少响应于采用指令341接收到改变请求382,指令342可以采用网络接口310把用户凭证从BIOS模块320传送到服务器250。例如,指令342可以传送请求384A,以验证在改变请求382中接收的用户凭证。指令342可以采用网络接口310从服务器250接收验证响应384B,并且如果验证响应384B是否定的,则确定拒绝改变请求382。如果验证响应384B是肯定的,则响应于BIOS模块320接收到改变请求382和所述肯定的验证响应384B,指令342可以采用网络接口310把对组信息的请求386A传送到服务器250。对组信息的请求386A可以包括用户凭证。在这种示例中,组信息可以被认为是权限信息。
在这种示例中,请求386A可以是对目录365的实体组的列表的请求,与用户凭证相关联的目标用户身份262是所述实体组的成员。作为响应,服务器250可以返回包括信息的第一实体列表386B,所述信息识别目标用户身份262是其成员的所有实体组。
在一些示例中,访问信息接收指令343可以从网络接口310接收第一实体列表386B作为访问信息389。确定指令344可以确定访问信息389是否指示目标用户身份262具有改变目标BIOS设置227的权限。在这种示例中,如果指令344确定访问信息389至少指示目标用户身份262具有改变目标BIOS设置227的权限,则指令345可以依据所述请求改变目标设置。例如,指令345可以通过采用所述目标值(例如,VALUE1A)取代(例如,盖写)目标BIOS设置227的当前值(例如,值1(VALUE1))来改变目标设置。
在图3的示例中,BIOS模块320包括设置权限列表329,其可以指示具有改变多个BIOS设置227中的每一个的权限的所述实体(例如,用户身份和实体组)。在一些示例中,对于每个BIOS设置227,权限列表329包括具有改变那个设置的权限的实体的列表。在一些示例中,指令344可以把第一实体列表386B与设置权限列表329相比较,以确定目标用户身份262是否具有改变目标BIOS设置227的权限。在这种示例中,如果设置权限列表329指示:在第一实体列表386B中包括的实体组和目标用户身份262中的至少一个具有改变目标设置227的权限,则指令344可以确定访问信息389指示目标用户身份262具有改变目标BIOS设置227的权限。在其它示例中,权限列表329可以具有指示具有改变所有BIOS设置227的权限的实体的单个实体列表。
在其他的示例中,当网络接口310接收到第一实体列表386B时,设置权限列表329可以不存储在BIOS模块320中,或者设置权限列表329可以不指示哪些实体具有改变目标设置227的权限。在这种示例中,在BIOS模块320接收到第一实体列表386B之后,列表请求指令346可以采用网络接口310向服务器250请求第二实体列表,该第二实体列表包括识别至少一个实体组的信息,该实体组的成员具有改变目标BIOS设置227的权限。例如,指令346可以采用网络接口310把列表请求388A提供到服务器250。
在一些示例中,目录365的每个计算设备身份363可以包括多个参数(例如,属性等)。在图3的示例中,每个计算设备身份363的参数包括:与所述计算设备身份363相关联的至少一个计算设备凭证、与身份363相关联的计算设备的多个BIOS设置227的列表、和指示哪些实体具有改变相关联的计算设备的哪些BIOS设置227的权限的权限列表。
在一些示例中,请求388A可以包括在计算设备300上存储的至少一个计算设备凭证(CDC)。在一些示例中,服务器250可以使用所述计算设备凭证来验证计算设备300,并且作为访问相关联的计算设备身份363的索引。此外,在一些示例中,请求388A还可以包括目标BIOS设置227的标识。在这种示例中,指令346可以采用网络接口310从服务器250接收第二实体列表388B,该第二实体列表包括识别具有权限的至少一个用户身份和/或其成员具有改变目标BIOS设置227的权限的至少一个实体组的信息。
在接收第二实体列表388B之后,如果访问信息389的第一实体列表386B中包括的实体中的至少一个或目标用户身份262在第二实体列表388B中被识别,则指令344可以确定所述目标用户身份262具有改变目标BIOS设置227的权限。在一些示例中,指令347可以把第二实体列表388B存储为BIOS模块320的设置权限列表329或把第二实体列表388B存储在BIOS模块320的设置权限列表329中。
在图3的示例中,验证请求384A和组请求386A被通过计算设备300分别提供到服务器250。在其他的示例中,响应于采用指令341接收到改变请求382,指令342可以传送在改变请求382中被接收的用户凭证作为对身份信息请求的一部分。在这种示例中,对身份信息的请求可以是验证用户凭证的请求以及对与用户凭证相关联的目标用户身份的组信息的请求。在这种示例中,网络接口310可以接收服务器250对所述请求的响应,并且把所述响应作为访问信息389提供到指令343。在一些示例中,如果验证信息是否定的,则指令343可以拒绝所述改变请求,并且如果所返回的验证信息是肯定的,则指令344可以确定是否部分地基于组信息(例如,第一实体列表386B)的提供而提供所请求的访问。
图4是用于管理对计算设备的BIOS模块的访问的示例性方法400的流程图。尽管方法400的执行在下面被参考图1的计算设备100描述,但用于方法400的执行的其他适合的组件(例如,计算设备200或300)也能够被利用。此外,方法400可以采用在机器可读存储介质上编码的可执行指令的形式、采用电子电路的形式、或其组合来实现。
方法400可以在405开始并且进行到410,其中计算设备100可以采用计算设备100的BIOS模块120接收改变BIOS模块120的第一设置的指令。在一些示例中,所述BIOS模块可以从计算设备100的操作系统接收所述指令。在接收到改变所述设置的指令之后,方法400可以进行到415,其中计算设备100可以响应于接收到所述改变指令而把验证用户凭证的请求从BIOS模块120提供到远程目录服务器。在一些示例中,计算设备100可以采用计算设备100的网络接口110把验证请求提供到远程目录服务器。
在提供所述验证请求之后,方法400可以进行到420,其中,计算设备100可以确定从远程目录服务器接收的对验证请求的响应是否指示用户凭证是有效的。在420,如果计算设备100确定对验证请求的响应指示所述用户凭证不是有效的,则方法400可以进行到430,其中方法400可以停止。然而,在420,如果计算设备100确定对验证请求的响应指示所述用户凭证是有效的,则方法400可以进行到425。在425,计算设备100可以把对改变所述BIOS模块的第一设置的权限的第一请求从BIOS模块120提供到远程目录服务器。然后,方法400可以进行到430,其中,方法400可以停止。
图5是用于管理对计算设备的BIOS模块的访问的另一个示例性方法500的流程图。尽管方法500的执行在下面参考图1的计算设备100描述,但用于方法500的执行的其他适合的组件(例如,计算设备200或300)也能够被利用。此外,方法500可以采用在机器可读存储介质上存储的可执行指令的形式、采用电子电路的形式、或其组合来实现。
方法500可以在505开始并且进行到510,其中计算设备100可以采用计算设备100的BIOS模块120接收改变BIOS模块120的第一设置的指令。在一些示例中,所述BIOS模块可以从计算设备100的操作系统接收所述指令。在接收到改变所述设置的指令之后,方法500可以进行到515,其中计算设备100可以响应于接收到所述改变指令而获取用户凭证。在一些示例中,计算设备100可以例如使用至少一个输出设备和至少一个输入设备从计算设备100的用户获取所述用户凭证。在其他示例中,计算设备100可以从计算设备100的存储区域获取所述用户凭证。
在获取所述用户凭证之后,方法500可以进行到520,其中,计算设备100可以响应于接收到所述改变指令而把验证所述用户凭证的请求从BIOS模块120提供到远程目录服务器。在一些示例中,计算设备100可以采用计算设备100的网络接口110把所述验证请求提供到远程目录服务器。
在提供所述验证请求之后,方法500可以进行到525,其中,计算设备100可以确定从远程目录服务器接收的对验证请求的响应是否指示用户凭证是有效的。如果计算设备100确定对验证请求的响应指示所述用户凭证不是有效的,则方法500可以进行到555,其中方法500可以停止。然而,如果计算设备100确定对验证请求的响应指示所述用户凭证是有效的,则方法500可以进行到530。
在530,方法500可以在计算设备100中存储用户凭证。在这种示例中,在确定用户凭证是有效的之后,用户凭证可以被存储在计算设备100中。例如,计算设备100可以包括可以由计算设备100的操作系统运行的应用(例如,可由计算设备100的处理器执行的机器可读指令集),并且允许计算设备100的用户从计算设备100的操作系统内请求对BIOS设置的改变。在这种示例中,一旦BIOS模块120已验证所述用户凭证,所述应用就可以存储有效的用户凭证,使得它们可以在用户不为每个改变请求再次输入用户凭证的情形下与来自用户的每个改变请求一起被提供到BIOS模块120。在一些示例中,用户凭证可以被存储在计算设备100中,直到当前的用户退出登录或计算设备100被重启。
在存储有效的用户凭证之后,方法500可以进行到535,其中,计算设备100可以把对改变所述BIOS模块的第一设置的权限的请求从BIOS模块120提供到所述远程目录服务器。然后,方法500可以进行到540,其中,计算设备100可以从远程目录服务器接收对第一权限请求的响应。在一些示例中,对第一权限请求的响应可以包括实体列表,该实体列表包括识别目标用户身份是其成员的至少一个实体组的信息,其中,所述目标用户身份与所述用户凭证相关联。在其他的示例中,所述响应可以是肯定或否定的。
在接收对第一权限请求的响应之后,方法500可以进行到545,其中,计算设备100可以确定是否至少部分地基于对第一权限请求的响应而改变第一设置。在一些示例中,计算设备100可以把在响应中返回的实体列表与设置权限列表相比较,以确定所述目标用户身份是否具有改变目标设置的权限,如以上相对于图3所描述。如果计算设备100确定所述目标用户身份具有权限,则方法500可以进行到550。可替代地,如果计算设备100确定所述目标用户身份不具有权限,在方法500可以进行到555,其中,方法500可以停止。
在其他示例中,其中所接收的响应是肯定或否定的(并且不是实体列表),当所述响应为肯定时,计算设备100可以确定改变所述第一设置,并且进行到550。在这种示例中,当所述响应为否定时,计算设备100可以确定不改变所述第一设置,并且进行到555,其中方法500可以停止。
在530存储所述用户凭证之后,计算设备100可以在550把改变BIOS模块120的第二设置的指令提供到BISO模块120,其中,所述指令包括所存储的用户凭证。例如,由计算设备100的操作系统运行的应用可以获取所存储的用户凭证,并且把它作为指令的一部分提供到BIOS 模块120以改变第二设置(在550)。然后,方法500可以进行到520,以上相对于图5所描述。
Claims (15)
1.一种用于管理基本输入/输出系统(BIOS)的访问的计算设备,所述计算设备包括:
网络接口;以及
BIOS模块,用于:
至少响应于接收到访问所述BIOS模块的设置的请求,采用网络接口向远程目录服务器请求与至少一个用户凭证相关联的身份信息;
基于远程目录服务器对身份信息的请求的响应,接收访问信息;以及
至少基于所述访问信息确定是否提供对所述设置的访问。
2.如权利要求1所述的计算设备,其中,所述BISO模块将进一步用于:
响应于接收到访问所述BISO模块的设置的请求,获取至少一个用户凭证;
采用网络接口向远程目录服务器请求对所述至少一个用户凭证的验证;以及
响应于接收到访问所述BIOS模块的设置的请求和接收到至少一个用户凭证是有效的指示,采用网络接口向远程目录服务器请求与所述至少一个用户凭证相关联的身份信息。
3.如权利要求2所述的计算设备,其中,所述BISO模块将进一步用于:
如果所述访问信息指示与所述至少一个用户凭证相关联的用户身份具有访问所述设置的权限,则确定依据所述访问请求提供对所述设置的访问。
4.如权利要求3所述的计算设备,其中,所述网络接口用于:
接收远程目录服务器对身份信息的请求的响应;以及
把所述响应作为访问信息提供到所述BIOS模块。
5.如权利要求4所述的计算设备,其中,所述网络接口用于:
存储第一和第二实体组,其中,在第一实体组中包括的每个用户身份具有访问所述设置的权限,并且在第二实体组中包括的每个用户身份不具有访问所述设置的权限;
从所述远程目录服务器接收对身份信息的请求的响应;
如果用户身份被包括在第一实体组中并且所述响应指示至少一个用户凭证是有效的,则生成所述访问信息,使得所述访问信息向所述BIOS模块指示提供对所述设置的访问;以及
把所述访问信息提供到所述BIOS模块。
6.如权利要求1所述的计算设备,进一步包括:
通信控制器模块,用于管理由所述计算设备的BIOS模块和操作系统对网络接口的使用。
7.如权利要求1所述的计算设备,其中,所述BISO模块进一步用于:
如果所述访问信息指示所述至少一个用户凭证是有效的,则向远程目录服务器请求与所述至少一个用户凭证相关联的目标用户身份的设置的目标值;以及
采用从远程目录服务器接收的目标值取代BIOS模块中的设置的当前值。
8.一种基本输入/输出系统(BIOS)模块的非临时性机器可读存储介质,所述存储介质被编码有指令,所述指令可由计算设备的处理器执行以管理对BIOS模块的访问,所述存储介质包括:
接收改变所述BIOS模块的设置的请求的指令;
至少响应于接收所述请求,采用计算设备的网络接口,把至少一个用户凭证从所述BIOS模块传送到远程目录服务器的指令;
基于所述远程目录服务器对所述至少一个用户凭证的传送的响应接收访问信息的指令;以及
如果所述访问信息至少指示与至少一个用户凭证相关联的目标用户身份具有改变所述设置的权限则依据所述请求改变所述设置的指令。
9.如权利要求8所述的机器可读存储介质,其中,改变所述BIOS模块的设置的请求包括至少一个用户凭证。
10.如权利要求8所述的机器可读存储介质,其中,所述访问信息包括第一实体列表,所述第一实体列表包括识别目标用户身份是其成员的至少一个实体组的信息,所述存储介质进一步包括:
如果所述BIOS模块的设置权限列表指示在第一身份列表中包括的实体组和目标用户身份中的至少一个具有改变所述设置的权限,则确定访问信息指示目标用户身份具有改变所述设置的权限的指令。
11.如权利要求10所述的机器可读存储介质,进一步包括:
向远程目录服务器请求包括信息的第二实体列表的指令,所述信息识别其成员具有改变所述设置的权限的至少一个实体组;以及
把所述第二实体列表存储在所述BIOS模块中的设置权限列表中的指令。
12.一种用于管理对计算设备的基本输入/输出系统(BIOS)模块的访问的方法,所述方法包括:
采用所述BIOS模块接收改变所述BIOS模块的第一设置的指令;
响应于接收到所述改变指令,把验证至少一个用户凭证的请求从所述BIOS模块提供到远程目录服务器;以及
如果从远程目录服务器接收的对验证请求的响应指示所述至少一个用户凭证是有效的,则把对改变所述BIOS模块的第一设置的权限的第一请求从所述BIOS模块提供到远程目录服务器。
13.如权利要求12所述的方法,进一步包括:
响应于接收所述改变指令,获取所述至少一个用户凭证;以及
至少部分地基于从远程目录服务器接收的对第一权限请求的响应,确定是否改变所述第一设置。
14.如权利要求13所述的方法,其中,对第一权限请求的响应包括:包括信息的实体列表,所述信息识别目标用户身份是其成员的至少一个实体组,其中,所述目标用户身份与所述至少一个用户凭证相关联。
15.如权利要求13所述的方法,进一步包括:
如果对验证请求的响应指示所述至少一个用户凭证是有效的,则把所述至少一个用户凭证存储在所述计算设备中;以及
在存储所述至少一个用户凭证之后,把改变所述BIOS模块的第二设置的指令提供到所述BIOS模块,其中,所述指令包括所存储的至少一个用户凭证。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2011/054237 WO2013048439A1 (en) | 2011-09-30 | 2011-09-30 | Managing basic input/output system (bios) access |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103827811A true CN103827811A (zh) | 2014-05-28 |
Family
ID=47996176
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180073871.0A Pending CN103827811A (zh) | 2011-09-30 | 2011-09-30 | 管理基本输入/输出系统(bios)的访问 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9519784B2 (zh) |
CN (1) | CN103827811A (zh) |
DE (1) | DE112011105696T5 (zh) |
GB (1) | GB2509424B (zh) |
WO (1) | WO2013048439A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105988830A (zh) * | 2015-02-04 | 2016-10-05 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
WO2021159732A1 (zh) * | 2020-02-16 | 2021-08-19 | 苏州浪潮智能科技有限公司 | 一种基于bios的多用户管理方法及系统 |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103890717B (zh) | 2011-10-21 | 2018-03-27 | 惠普发展公司,有限责任合伙企业 | 在特权域中提供基本输入/输出系统(bios)的功能 |
US9448810B2 (en) * | 2011-10-21 | 2016-09-20 | Hewlett-Packard Development Company, L.P. | Web-based interface to access a function of a basic input/output system |
DE102012101876A1 (de) * | 2012-03-06 | 2013-09-12 | Wincor Nixdorf International Gmbh | PC Absicherung durch BIOS/(U) EFI Erweiterungen |
US9507736B2 (en) * | 2012-06-01 | 2016-11-29 | Broadcom Corporation | Network controller with integrated management controller |
JP5741722B1 (ja) * | 2014-01-28 | 2015-07-01 | 日本電気株式会社 | 情報処理装置、及び、情報処理方法 |
US9582393B2 (en) * | 2014-06-20 | 2017-02-28 | Dell Products, Lp | Method to facilitate rapid deployment and rapid redeployment of an information handling system |
JP6515462B2 (ja) * | 2014-08-22 | 2019-05-22 | 富士通株式会社 | 情報処理装置、情報処理装置の設定方法及び設定プログラム |
US9122501B1 (en) | 2014-09-08 | 2015-09-01 | Quanta Computer Inc. | System and method for managing multiple bios default configurations |
US9529602B1 (en) * | 2015-07-22 | 2016-12-27 | Dell Products, L.P. | Systems and methods for internet recovery and service |
US9875113B2 (en) * | 2015-12-09 | 2018-01-23 | Quanta Computer Inc. | System and method for managing BIOS setting configurations |
US10339317B2 (en) | 2015-12-18 | 2019-07-02 | Intel Corporation | Computing devices |
US10049009B2 (en) * | 2016-05-24 | 2018-08-14 | Dell Products, L.P. | Remediation of a device using an embedded server |
US10091904B2 (en) | 2016-07-22 | 2018-10-02 | Intel Corporation | Storage sled for data center |
US20210209205A1 (en) * | 2017-10-30 | 2021-07-08 | Hewlett-Packard Development Company, L.P. | Regulating access |
CN108629484A (zh) * | 2018-03-30 | 2018-10-09 | 平安科技(深圳)有限公司 | 坐席资质管理方法、装置和存储介质 |
US10841318B2 (en) * | 2018-07-05 | 2020-11-17 | Dell Products L.P. | Systems and methods for providing multi-user level authorization enabled BIOS access control |
US11748497B2 (en) | 2018-09-28 | 2023-09-05 | Hewlett-Packard Development Company, L.P. | BIOS access |
EP3791300A4 (en) * | 2018-11-14 | 2021-12-01 | Hewlett-Packard Development Company, L.P. | FIRMWARE ACCESS BASED ON TEMPORARY PASSWORDS |
US11258607B2 (en) | 2020-01-29 | 2022-02-22 | Hewlett-Packard Development Company, L.P. | Cryptographic access to bios |
US20230177161A1 (en) * | 2021-12-08 | 2023-06-08 | Hewlett-Packard Development Company, L.P. | Bios change requests signings based on passwords |
US20240028739A1 (en) * | 2022-07-19 | 2024-01-25 | Dell Products L.P. | Pre-operating system embedded controller hardening based on operating system security awareness |
US20240037238A1 (en) * | 2022-07-28 | 2024-02-01 | Dell Products L.P. | Enabling flexible policies for bios settings access with role-based authentication |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090327503A1 (en) * | 2008-06-25 | 2009-12-31 | Hochmuth Roland M | Connection Management System For Multiple Connections |
CN102024099A (zh) * | 2009-09-21 | 2011-04-20 | 微星科技股份有限公司 | 个人计算机的开机认证方法及其开机认证系统 |
US20110154009A1 (en) * | 2008-02-18 | 2011-06-23 | Dell Products L.P. | Remote management of uefi bios settings and configuration |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5884073A (en) | 1996-10-28 | 1999-03-16 | Intel Corporation | System and method for providing technical support of an electronic system through a web bios |
US6148387A (en) | 1997-10-09 | 2000-11-14 | Phoenix Technologies, Ltd. | System and method for securely utilizing basic input and output system (BIOS) services |
US6353885B1 (en) * | 1999-01-26 | 2002-03-05 | Dell Usa, L.P. | System and method for providing bios-level user configuration of a computer system |
US6801946B1 (en) | 2000-06-15 | 2004-10-05 | International Business Machines Corporation | Open architecture global sign-on apparatus and method therefor |
US6732267B1 (en) | 2000-09-11 | 2004-05-04 | Dell Products L.P. | System and method for performing remote BIOS updates |
US7185359B2 (en) | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
US7143095B2 (en) | 2002-12-31 | 2006-11-28 | American Express Travel Related Services Company, Inc. | Method and system for implementing and managing an enterprise identity management for distributed security |
US8533845B2 (en) * | 2005-02-15 | 2013-09-10 | Hewlett-Packard Development Company, L.P. | Method and apparatus for controlling operating system access to configuration settings |
US7370190B2 (en) | 2005-03-03 | 2008-05-06 | Digimarc Corporation | Data processing systems and methods with enhanced bios functionality |
US20070016791A1 (en) * | 2005-07-14 | 2007-01-18 | Smita Bodepudi | Issuing a command and multiple user credentials to a remote system |
US8019994B2 (en) * | 2006-04-13 | 2011-09-13 | Hewlett-Packard Development Company, L.P. | Authentication of a request to alter at least one of a BIOS and a setting associated with the BIOS |
US9047452B2 (en) | 2006-07-06 | 2015-06-02 | Dell Products L.P. | Multi-user BIOS authentication |
US7827394B2 (en) * | 2006-12-14 | 2010-11-02 | Hewlett-Packard Development Company, L.P. | Methods and systems for configuring computers |
US7979899B2 (en) | 2008-06-02 | 2011-07-12 | Microsoft Corporation | Trusted device-specific authentication |
US8856512B2 (en) | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
US8103883B2 (en) | 2008-12-31 | 2012-01-24 | Intel Corporation | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption |
US20130019281A1 (en) * | 2011-07-11 | 2013-01-17 | Cisco Technology, Inc. | Server Based Remote Authentication for BIOS |
-
2011
- 2011-09-30 CN CN201180073871.0A patent/CN103827811A/zh active Pending
- 2011-09-30 WO PCT/US2011/054237 patent/WO2013048439A1/en active Application Filing
- 2011-09-30 DE DE112011105696.6T patent/DE112011105696T5/de not_active Withdrawn
- 2011-09-30 US US14/347,530 patent/US9519784B2/en active Active
- 2011-09-30 GB GB1405333.4A patent/GB2509424B/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110154009A1 (en) * | 2008-02-18 | 2011-06-23 | Dell Products L.P. | Remote management of uefi bios settings and configuration |
US20090327503A1 (en) * | 2008-06-25 | 2009-12-31 | Hochmuth Roland M | Connection Management System For Multiple Connections |
CN102024099A (zh) * | 2009-09-21 | 2011-04-20 | 微星科技股份有限公司 | 个人计算机的开机认证方法及其开机认证系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105988830A (zh) * | 2015-02-04 | 2016-10-05 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
CN105988830B (zh) * | 2015-02-04 | 2019-07-26 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
WO2021159732A1 (zh) * | 2020-02-16 | 2021-08-19 | 苏州浪潮智能科技有限公司 | 一种基于bios的多用户管理方法及系统 |
US11907728B2 (en) | 2020-02-16 | 2024-02-20 | Inspur Suzhou Intelligent Technology Co., Ltd. | Bios-based multi-user management method and system |
Also Published As
Publication number | Publication date |
---|---|
GB201405333D0 (en) | 2014-05-07 |
US20140230078A1 (en) | 2014-08-14 |
WO2013048439A1 (en) | 2013-04-04 |
US9519784B2 (en) | 2016-12-13 |
DE112011105696T5 (de) | 2014-07-24 |
GB2509424A (en) | 2014-07-02 |
GB2509424B (en) | 2020-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103827811A (zh) | 管理基本输入/输出系统(bios)的访问 | |
US11336634B2 (en) | Identity management via a centralized identity management server device | |
US11704134B2 (en) | Device locator disable authentication | |
CN106537403B (zh) | 用于从多个装置访问数据的系统 | |
US10922401B2 (en) | Delegated authorization with multi-factor authentication | |
US11003760B2 (en) | User account recovery techniques using secret sharing scheme with trusted referee | |
US9613205B2 (en) | Alternate authentication | |
US20130318576A1 (en) | Method, device, and system for managing user authentication | |
US8656455B1 (en) | Managing data loss prevention policies | |
TWI494785B (zh) | 用以提供系統管理命令之系統與方法 | |
US10110578B1 (en) | Source-inclusive credential verification | |
CN107409129B (zh) | 使用访问控制列表和群组的分布式系统中的授权 | |
CA2884005A1 (en) | Method and system for verifying an access request | |
US20170279798A1 (en) | Multi-factor authentication system and method | |
US10318725B2 (en) | Systems and methods to enable automatic password management in a proximity based authentication | |
EP3704622B1 (en) | Remote locking a multi-user device to a set of users | |
EP3374852A1 (en) | Authorized areas of authentication | |
EP2702744A1 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud system | |
WO2007126794A2 (en) | Accessing data storage devices | |
CN102571873A (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
US20220166762A1 (en) | Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith | |
CN105379176B (zh) | 用于验证scep证书注册请求的系统和方法 | |
KR102332004B1 (ko) | 블록체인 네트워크에서 계정을 관리하는 방법, 시스템 및 비일시성의 컴퓨터 판독 가능 기록 매체 | |
CN112560116A (zh) | 一种功能控制方法、装置和存储介质 | |
CN112970017A (zh) | 设备到云存储的安全链接 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140528 |